0•Bytes•1 – Telegram
0•Bytes•1
@technical_private_cat
3.61K subscribers
85 photos
1 video
90 files
142 links
Здравствуй, Нео🎩
Следуй за белым кроликом, не забывая пить таблетки🐇
Тогда ты увидишь удивительные глубины мира ИБ и не только.
Но помни, кроличья нора глубже чем кажется.
Download Telegram
About
Blog
Apps
Platform
Join
0•Bytes•1
3.61K subscribers
0•Bytes•1
А для чего это шпионское ПО вообще нужно?🧲

Как мы понимаем это нужно для слежки. 
Но за кем и кому нужно следить?

Ну в первую очередь государству. Им нужно следить за преступниками или террористами .
Но кроме этого они могут использовать шпионское ПО не по назначению и следить и за какими либо политическими или значимыми гражданскими лицами без преступной деятельности .
Так же это ПО может использоваться в военных целях. Помимо государства эти инструменты могут использовать частные компании - Для слежки за какими либо конкурентами и подобного.
Вполне возможно, что некоторые правительства сами производят инструменты для целевого цифрового наблюдения, многие государства покупают сложные технологии, обеспечивающие такое наблюдение, у частных компаний.
Конечно такие инструменты могут быть полезны и каким то продвинутым злоумышленникам .
К примеру для слежки и впоследствии взлома компаний , или частных лиц .
К сожалению во многих случаях ПО для слежки используют не по назначению (для ловли преступников ) , а для своих целей нарушающих конфиденциальность обычных людей
Тем не менее шпионское ПО очень может помочь в предотвращении многих преступлений


Теперь разберем сами инструменты и эксплойты

Первым делом хочется рассказать про эксплоит forcedentry🍏

При анализе телефона, зараженного Pegasus . Обнаружили эксплойт нулевого дня с нулевым кликом для iMessage. Эксплойт, назвали forcedentry, он нацелен на библиотеку рендеринга изображений Apple, и был эффективен против устройств Apple iOS, macOS и WatchOS.
Полезная нагрузка включала 27 идентичных копий файла с расширением .gif, «который на самом деле был 748-байтным файлом Adobe PSD», причем каждая копия вызывала сбой IMTranscoderAgent на устройстве. Он также включал четыре разных файла .gif, которые на самом деле были "файлами Adobe PDF, содержащими поток в кодировке JBIG2".
Этой уязвимости присвоили номер CVE-2021-30860 .
Эта уязвимость использует библиотеку рендеринга изображений Apple, CoreGraphics, и не требует вмешательства пользователя после открытия текстового сообщения.
Apple выпустила исправления для этой уязвимости: пользователям iPhone и iPad следует обновиться до iOS 14.8 и iPadOS 14.8.
Вот кстати сканер есть оли эта уязвимость на вашем устройстве
Так же вот статья с обьяснение тех подробностей этой уязвимости , в архиве будет отчет о ней и ее обнаружение , еще вот подробная статья об этом

Так же хочу рассказать про интересное шпионское ПО Predator, от Cytrox🧲

Сама компания Cytrox, основана в 2017 году как предоставление правительствам "оперативного киберрешения", которое включает сбор информации с устройств и облачных сервисов.

В Pitchbook их технологии определяются как "системы киберразведки, предназначенные для обеспечения безопасности" правительств и помощи в "разработке, управлении и внедрении сбора киберразведки в сети, что позволяет предприятиям собирать разведданные как с конечных устройств, так и из облачных сервисов"

Predator разработан компанией Cytrox и продан правительствам нескольких стран, включая Армению, Грецию и тд.
Однако лица, совершившие шпионские атаки в течение 2021 года, неизвестны. 
Целью кампаний было получение доступа к Android-устройствам конкретных целей.
Во всех случаях использовалась ссылка, отправленная по электронной почте и имитирующая службу сокращения URL-адресов. Когда ничего не подозревающая жертва нажимала на ссылку, браузер подключался к домену, управляемому киберпреступниками, с которого загружалось вредоносное ПО, после чего отображался легитимный сайт.

Речь идет о вредоносной программе Alien, которая загружает Predator, инструмент для шпионажа. Последний может выполнять различные действия, включая запись звука, добавление сертификатов и скрытие приложений.
В августе 2021 года, использовалась уязвимость нулевого дня в Chrome CVE-2021-38000 для загрузки адреса домена в браузер Samsung без участия пользователя. Потом юзалась уязвимости нулевого дня в Chrome CVE-2021-37973 и CVE-2021-37976 для обхода "песочницы" браузера и загрузки шпионского ПО на смартфон🩸

#spyware #cve #exploit #tools
cve.mitre.org
CVE -
CVE-2021-30860
The mission of the CVE Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
🔥1
1.6K viewsedited  
0•Bytes•1
Еще хочется затронуть продукт под названием Heliconia🧿

Шпионское ПО Heliconia, поражающее несколько браузеров, в том числе Google Chrome, Firefox, как ни странно, программу безопасности Microsoft Defender.
Исследователи команды добавили, что узнали о фреймворке из отчета об ошибке, отправленного анонимно пользователем Chrome, который содержал инструкции и исходный код с названиями Heliconia Noise , Heliconia Soft и Files .

Группа анализа угроз Google добавляет, что шпионское ПО было специально разработано для использования уязвимостей в браузерах Chrome и Firefox. Также было замечено , что шпионское ПО влияет на Microsoft Defender, который предустанавливается вместе с Microsoft Windows. Исследователи пришли к выводу, что инструменты распространения кода шпионского ПО содержали ссылки на потенциального создателя фреймворков после тщательного изучения проблемы, о которой сообщил анонимный пользователь.

Heliconia Noise это веб-фреймворк для развертывания эксплойта средства визуализации Chrome с последующим выходом из песочницы Chrome и установкой агента.
Файл манифеста в исходном коде содержит описание продукта:
изображение файла манифеста в исходном коде
Эксплойт средства визуализации Chrome . Он использует ошибку деоптимизатора V8, исправленную в августе 2021 года. Как обычно в настоящее время для внутренних ошибок Chrome, CVE не был присвоен. Исходный код содержит ссылки на побег из песочницы под названием chrome-sbx-gen. Этот компонент поддерживался в отдельном подмодуле Git и отсутствовал в полученном исходном коде. Чтобы запутать код JavaScript, фреймворк использует minobf, вероятно, специальный инструмент, который также не был включен в исходный код.

Heliconia Soft — это веб-фреймворк, который развертывает PDF-файл, содержащий эксплойт Защитника Windows.
Он использует CVE-2021-42298, ошибку в движке JavaScript Microsoft Defender Malware Protection, которая была исправлена в ноябре 2021 года. Эксплойт получает СИСТЕМНЫЕ привилегии с помощью одной уязвимости, и единственное действие, требуемое от пользователя, — загрузка PDF-файла, который запускает сканирование Защитником Windows.

Files содержал полностью задокументированную цепочку эксплойтов Firefox для Windows и Linux. Для удаленного выполнения кода он использует CVE-2022-26485 , уязвимость использования после бесплатного использования в процессоре XSLT, которая, как сообщалось, в марте 2022 года использовалась в дикой природе. TAG считает, что пакет Heliconia Files, вероятно, использовал эту уязвимость RCE по крайней мере с 2019 года, задолго до того, как об ошибке стало известно и она была исправлена.

Эксплойт Heliconia эффективен против версий Firefox с 64 по 68, что позволяет предположить, что он мог использоваться уже в декабре 2018 года, когда впервые была выпущена версия 64. Кроме того, когда Mozilla исправила уязвимость, код эксплойта в отчете об ошибке имел поразительное сходство с эксплойтом Heliconia, включая те же имена переменных и маркеры. Эти совпадения предполагают, что автор эксплойта один и тот же как для эксплойта Heliconia, так и для примера кода эксплойта, которым Mozilla поделилась, когда они исправили ошибку.

#spyware #snooping #malware #android #browsers #cve #exploit #tools
cve.mitre.org
CVE -
CVE-2021-42298
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
🔥1
1.21K viewsedited  
0•Bytes•1
Думаю пара заканчивать данный пост .

Сейчас мы разобрали интересное вредоносное ПО для слежки и компании по его разработке 
Если вы захотите, то я  могу в бедующем сделать пост с разбором отдельных ноль дев и ноль кликов

Как итог могу сказать

В последнее время появляется довольно много шпионского ПО .
За нами следят как и гос компании, так и частные предприятия . Атаки нулевого клика которые используют в подобном ПО весьма трудно обнаружить, и они представляют собой широко угрозу для конфиденциальности . Вам я могу посоветовать очень пристально следить за обновлениями . Ведь многие эксплоиты как раз работаю на устаревшее программы/ПО/патчи . 
Еще желательно проводить анализ своего устройства на наличие подозрительной активности .

На этом пора заканчивать .
Своею заглянуть в архив там много полезной информации дополняющей этот пост .
Она будет полена вам для самострельного изучения . Там будут статьи про шпионские программы , их развитие в бедующем , про некоторые компании разработке, а так же про форензику и обнаружение шпионского ПО 🔑

Кстати, кому интересно по изучать подобную эту тематику, вот треды на гихаб со шпионским ПО:

Сборник шпионского ПО ;

Шпионское По для андроида ;

Шпионское ПО для Windows ;

Генератор шпионского ПО ;

Сборник репозиториев с 0-day ;

Forcedentry ;

Спасибо за прочтение❤️

И помните мои Алисы: Заходя в чужой сад, где слуги красят розы другой , вы встретите пиковую королеву, будьте аккуратнее с ней , а то рискуете остаться без головы ♠️🎀

#spyware #snooping #malware #android #browsers #cve #exploit #forensics
GitHub
GitHub is where people build software. More than 150 million people use GitHub to discover, fork, and contribute to over 420 million projects.
👍2🔥1
1.34K views
0•Bytes•1
Hello, My Hatter🎩

Today I want to talk about surveillance tools like pegasus 🔭🩸

For starters what are the companies that do this .

The first thing that comes to mind is NSO, also Candiru, Download Valley, Gamma Group, Claria Corporation, Quadream, Genieo, Cellebrite, Blue Coat, Hacking Team, CyberPoint, Technologies, Cytrox, Verint also CISA about the United States can do such things, this is only a small part of such companies.

Let's talk more about some of the companies🧩

Let's look at NSO, they are one of the biggest representatives of such companies

NSO Group creates sophisticated surveillance technology they operate in israel, as do many surveillance software companies. After all this country is very strong in this field.
NSOs are sponsored by the state (commissioned by state actors) that allow its narrowly targeted spyware to spy on victims.
Their attacks target a very small number of users and affect different platforms, including iOS and Android.
Researchers and journalists have publicly documented cases of misuse of this spyware against journalists, activists, dissidents, academics, and government officials.
The corporate structure of the NSO Group is fueled by investments, from private investment companies to governments. NSO companies have received export licenses from the authorities in Israel, Bulgaria and Cyprus.
In the archive below is an article about the corporate structure of this company. 

Also an interesting company is Cellebrite

It's a company : 
Known for its technological breakthroughs in the field of cellular communication.
Cellebrite develops advanced mobile data solutions, which allow the wide use and management of cell phone data.
But Cellebrite doesn't hack phones. Rather, they help customers legally collect and view, analyze and manage digital data in a lawful, ethical and verifiable way while protecting privacy. But their products are interesting nonetheless.

Also an interesting Israeli company, Quadream

QuaDream develops surveillance malware for the government and intelligence agencies.
They often work with video surveillance technology and telephones and are the second in this market in Israel.
With them there was a situation when this company sold phone hacking technology with zero click capability to Saudi Arabia, which raises concerns about human rights violations due to its use.
QuaDream say that , their malicious tools offer the same capabilities as Pegasus, including live call recording, camera activation - front and back and microphone activation, according to Reuters.
QuaDream and NSO Group have several customers in common, including Saudi Arabia and Mexico. QuaDream's first customers also allegedly include the government of Singapore. In addition, the firm apparently made an offer to the Indonesian government, though Reuters could not determine whether Indonesia paid the money for the

#spyware #snooping #malware
821 views
0•Bytes•1
What is this spyware for anyway? 🧲

As we understand it is for surveillance. 
But who needs to be spied on and by whom?

Well first of all the government. They need to spy on criminals or terrorists .
But besides that, they can use the spyware for other purposes and spy on any political or significant civilians without criminal activity.
This software can also be used for military purposes. In addition to the government, private companies can also use these tools to spy on competitors and the like.
It is possible that some governments produce their own tools for targeted digital surveillance, many states buy the sophisticated technology for such surveillance from private companies.
Of course, such tools may also be useful to some advanced attackers.
For example, to spy on and subsequently hack into companies, or individuals.
Unfortunately, in many cases surveillance software is used not for its intended purpose (to catch criminals), but for the purposes of violating the privacy of ordinary people.
Nevertheless, spyware can be very useful in preventing many crimes


Now let's look at the tools and the exploits

The first thing we want to talk about is the forcedentry exploit 🍏

When analyzing a phone infected with Pegasus . We discovered a zero-day exploit with zero clicks for iMessage. The exploit, called forcedentry, targeted Apple's image rendering library and was effective against Apple iOS, macOS and WatchOS devices.
The payload included 27 identical copies of a .gif file, "which was actually a 748-byte Adobe PSD file," with each copy causing IMTranscoderAgent to fail on the device. It also included four different .gif files that were actually "Adobe PDF files containing a JBIG2 encoded stream."
This vulnerability has been assigned the number CVE-2021-30860 . 
This vulnerability uses Apple's image rendering library, CoreGraphics, and does not require user intervention after opening a text message. 
Apple has released a patch for this vulnerability: iPhone and iPad users should update to iOS 14.8 and iPadOS 14.8.

Here's a scanner by the way if this vulnerability is on your device
Also here is an article explaining the details of this vulnerability , there will be a report about it and its discovery in the archive, also here is a detailed article about it

I also want to tell you about an interesting spyware Predator, from Cytrox🧲

Cytrox itself, founded in 2017 as providing governments with an "operational cyber solution" that involves collecting information from devices and cloud services.

Pitchbook defines their technology as "cyber intelligence systems designed to keep governments safe" and help them "develop, manage and implement cyber intelligence collection across the network, allowing enterprises to collect intelligence from both endpoint devices and cloud services."

Predator is developed by Cytrox and has been sold to the governments of several countries, including Armenia, Greece, etc.
However, the perpetrators of the spyware attacks during 2021 are unknown. 
The aim of the campaigns was to gain access to Android devices of specific targets.
In all cases, a link sent via email was used, mimicking a URL shortening service. When an unsuspecting victim clicked on the link, the browser was connected to a domain controlled by the cybercriminals, from which the malware was downloaded and which then displayed a legitimate site.

We are talking about the Alien malware, which downloads Predator, an espionage tool. The latter can perform various actions, including recording sound, adding certificates and hiding applications.
In August 2021, a zero-day vulnerability in Chrome, CVE-2021-38000 , was used to upload a domain address into the Samsung browser without user input. Then it used Chrome zero-day vulnerability CVE-2021-37973 and CVE-2021-37976 to bypass browser sandbox and download spyware onto the smartphone🩸.

#spyware #browsers #cve #exploit
cve.mitre.org
CVE -
CVE-2021-30860
The mission of the CVE Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
916 views
0•Bytes•1
We would also like to mention a product called Heliconia🧿.

Heliconia spyware that affects several browsers, including Google Chrome, Firefox, oddly enough, Microsoft Defender security software.
The team's researchers added that they learned about the framework from a bug report sent anonymously by a Chrome user that contained instructions and source code with the names Heliconia Noise , Heliconia Soft and Files .

Google's threat analysis team adds that the spyware was specifically designed to exploit vulnerabilities in Chrome and Firefox browsers. Spyware has also been observed to affect Microsoft Defender, which comes preinstalled with Microsoft Windows. Researchers concluded that the spyware code distribution tools contained links to a potential framework creator after scrutinizing the problem reported by an anonymous user.

Heliconia Noise is a web framework for deploying an exploit of the Chrome visualization tool, followed by exiting the Chrome sandbox and installing an agent.
The manifest file in the source code contains a denoscription of the product:
An image of the manifest file in the source code
Exploit Chrome visualization tool . It uses the V8 deoptimizer bug, fixed in August 2021. As usual nowadays for internal Chrome bugs, no CVE has been assigned. The source code references a sandbox escape called chrome-sbx-gen. This component was maintained in a separate Git submodule and was missing from the resulting source code. To obfuscate the JavaScript code, the framework uses minobf, probably a special tool, which was also not included in the source code.

Heliconia Soft is a web framework that deploys a PDF file containing a Windows Defender exploit.
It uses CVE-2021-42298 , a bug in the Microsoft Defender Malware Protection JavaScript engine that was fixed in November 2021. The exploit obtains SYSTEM privileges with a single vulnerability, and the only action required of the user is to download a PDF file that triggers a Windows Defender scan.

Files - contained a fully documented Firefox exploit chain for Windows and Linux. It uses CVE-2022-26485 , a post-free XSLT processor exploit vulnerability reported to be in the wild in March 2022, to execute code remotely. TAG believes that the Heliconia Files package has probably been using this RCE vulnerability since at least 2019, long before the bug became known and patched.

The Heliconia exploit is effective against Firefox versions 64 through 68, suggesting that it could have been used as early as December 2018, when version 64 was first released. Furthermore, when Mozilla patched the vulnerability, the exploit code in the bug report bore striking similarities to the Heliconia exploit, including the same variable names and tokens. These coincidences suggest that the author of the exploit is the same for both the Heliconia exploit and the sample exploit code that Mozilla shared when they fixed the bug.

#spyware #snooping #malware #android #browsers #cve #exploit
cve.mitre.org
CVE -
CVE-2021-42298
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
975 views
0•Bytes•1
I think we should end this post.

Now we've taken apart some interesting surveillance malware and the companies that develop it 
If you want, I can make a post in the future with a breakdown of individual zero devs and zero clicks

As a summary I can say.🔅

There has been quite a lot of spyware lately.
Both government companies and private enterprises are watching us. Zero click attacks that are used in such software are very difficult to detect and they pose a widespread threat to privacy . I can advise you to watch very closely for updates . After all, many exploits just work for outdated programs/software/patches.
It is also desirable to analyze your device for suspicious activity.

At this point it is time to end.
His look in the archive there a lot of useful information to complement this post.
It will be useful to you for self-study. There will be articles about spyware, their development in the future, about some development companies, as well as about forensics and spyware detection 🔑

By the way, if you want to learn more about this kind of stuff, here are some spyware guides on the gehub:

Spyware Collection ;

Spyware for android ;

Spyware for Windows ;

Spyware Generator ;

0-day repository collection ;

Forcedentry ;

Thanks for reading❤️

And remember my Alice: Entering someone else's garden, where the servants paint roses to another, you will meet the queen of spades, be careful with it, or you risk losing your head ♠️🎀

 #spyware #snooping #malware #android #browsers #cve #exploit #forensics
GitHub
GitHub is where people build software. More than 150 million people use GitHub to discover, fork, and contribute to over 420 million projects.
👍21
1.45K views
0•Bytes•1
Spyware.tar
46.2 MB
Архив со статьями к посту 🔐
Там будут статьи про шпионские программы , их развитие в бедующем , про некоторые компании разработке, а так же про форензику и обнаружение шпионского ПО в виде динамического анализа
Надеюсь вам будет полезно❤️

Articles archive for the post. 🔐 
There will be articles about spyware, their development in the future, some development companies, as well as forenzika and spyware detection in the form of dynamic analysis.
I hope you find it useful❤️
#spyware #snooping #malware #android #browsers #cve #exploit #forensics #revers
5
2.31K views
0•Bytes•1
😁3
10.3K viewsedited  
0•Bytes•1
Добрый день, мои чеширские котики 🐈‍⬛

Большинство проголосовали за то чтобы я добавила донаты.
Так что вот они , но дело сугубо добровольное, я в любом случае рада что вы меня читаете ❤️

Ссылки на кошельки:

ETH:
0x23B9319436504f57454aFD864cC9E45DD438FFAb

Monero:
4B43PtQ2zWsJvjjJqnUKR9ERRvkTXBN2517LjB8Se8TEJ6dk965eMMd9F88SC5KpihXYj8XvFUvgAX3JsjzePfqQRw4Fbp5

Bitcoin:
bc1q6grylxeumpyxxn247kyj65f87m89c2w3f9lgh2

USDT trc20:
TFj2j7o9JHTUaGksT27ars7WiLQSnTRZ7F

USDT erc20:
0x23B9319436504f57454aFD864cC9E45DD438FFAb

Boosty:
https://boosty.to/bytes_alice/single-payment/donation/341809/:paymentPurposeDonationType?share=target_link

Спасибо анонимая Алиса ❤️
boosty.to
Alice_Donate - exclusive content on Boosty
Exclusive content from Alice_Donate, subscribe and be the first to access!
10🔥1
2.4K viewsedited  
0•Bytes•1
Good afternoon, my Cheshire cats 🐈‍⬛

Most voted for me to add donations.
So here they are, it's purely voluntary, and I'm glad you're reading me anyway ❤️

Wallet links:

ETH:
0x23B9319436504f57454aFD864cC9E45DD438FFAb

Monero:
4B43PtQ2zWsJvjjJqnUKR9ERRvkTXBN2517LjB8Se8TEJ6dk965eMMd9F88SC5KpihXYj8XvFUvgAX3JsjzePfqQRw4Fbp5

Bitcoin:
bc1q6grylxeumpyxxn247kyj65f87m89c2w3f9lgh2

USDT trc20:
TFj2j7o9JHTUaGksT27ars7WiLQSnTRZ7F

USDT erc20:
0x23B9319436504f57454aFD864cC9E45DD438FFAb

Boosty:
https://boosty.to/bytes_alice/single-payment/donation/341809/:paymentPurposeDonationType?share=target_link

Thank you anonymous Alice ❤️
boosty.to
Alice_Donate - exclusive content on Boosty
Exclusive content from Alice_Donate, subscribe and be the first to access!
👍54❤‍🔥1👎1
2.7K viewsedited  
0•Bytes•1
В каком формате вам больше нравится статьи ?
Anonymous Poll
77%
В telegra.ph
23%
В обычном телеграмме на несколько постов
124 voters1.78K views
0•Bytes•1
Добрый день мои Алисы🎀
Я собираемся написать сканер nmp пакетов с https://news.1rj.ru/str/c17179n_notes
Выйдет до нового года🙃
7👍1
1.73K viewsedited  
0•Bytes•1
Админ не умер .
В последнее время у меня много дел 🥲

На данный момент я работаю над статьей про форензику и выслеживание злоумышленников, она выйдет завтра утром / днём .
🔎


Admin is not dead .
I have a lot on my plate lately 🥲

I'm currently working on an article about forensic and tracking attackers, it will be out tomorrow morning/afternoon .🔎
14👎1😢1💩1🖕1
1.41K viewsedited  
0•Bytes•1
Статья на русском🎩

https://telegra.ph/Prodolzhenie-serii-postov-pro-zloumyshlennikov-12-20

#anti_forensics #incident_response #protection #security #forensics #revers #mobile #anonymity #windows #linux
Telegraph
Продолжение серии постов про злоумышленников
Добрый день, мои Алисы 🎀 Не ждали?   А я решетила сделать продолжение серии постов про злоумышленников .1 часть , 2 часть 🧩 Как я и обещала эта часть будет про форензику и выслеживание злоумышленников 🔎
👍7
1.45K views
0•Bytes•1
Article in English🎩

https://telegra.ph/Continuation-of-the-series-of-posts-about-abusers-12-20

#anti_forensics #incident_response #protection #security #forensics #revers #mobile #anonymity #windows #linux
Telegraph
Continuation of the series of posts about attackers
Good afternoon, my Alices 🎀 Weren't you waiting?   And I decided to make a continuation of the series of posts about intruders .Part 1 , Part 2 🧩 As I promised this part will be about forensics and tracking intruders 🔎
1
1.24K views
0•Bytes•1
incident_response_forensics.zip
117.1 MB
Архив с материалами к статье 🔑
Cтатьи про форензику на виндовс , Линукс. Статьи про форензику от cisa и в целом fbi, статьи про анти форензику , а так же статьи про составление грамотного плана реагирования на прошествия и много чего ещё полезного.
Надеюсь вам будет полезно❤️‍🔥

Archive with materials for article 🔑
Articles about forensics on winds , linux. Articles about forensics by cisa and fbi in general, articles about anti forensics, as well as articles about making a good response plan for events and many other useful things.
I hope you find it useful❤️‍🔥
#anti_forensics #incident_response #protection #security #forensics #revers #mobile #anonymity #windows #linux
❤‍🔥5🔥1
1.87K views
0•Bytes•1
Привет, мои кролики которые любят ходить на чаепития 🐰☕️

Пока пишу про поиск и анализ биткоин узлов, решила сделать сборок матерьялов по руткитам вирусам на линукс 🐧


Реверс💊

Не совсем про линукс, но все же очень крутое руководство по реверсу ;

Статья про реверс-инжиниринг руткита Ebpfkit ;

Статья про анализ вредоносных программ dovecat и hy4 для Linux ;

Сборник ресурсов для реверс-инжиниринга Linux. ;

Статья про ароматизацию анализа вирусов на линукс ;

Статья про анализ вредоносных программ для Linux ;

Статья про руткит и его обнаружение ;


Ресурсы🗝

Сайт с матерьялами по вирусам и руткитам на линукс, в том числе их написаю ;

Сайт с ресурсами по реверсу ;

Сайт с ресурсами для тех ко хочет писать вирус под линукс ;

Сайт с отличными матерьялами и документами по вредоносным программа линукс ;


Примеры вирусов🦠

Тред на github с крутыми репозиреями вирусов ;

Вирус Linux X86_64 ELF ;

Простой вирус линукса. Он может получить root права и разрушить вашу систему ;

Программа-вымогатель для Linux ;

Репозиторий исходного кода различных вредоносных программ Linux ;

Комбинация шела и руткита ;

Сборник линукс руткитов ;

Простой руткит ядра Linux ;


Матерьялы / Cборники📖

Сборник матерьялов по вирусам линукс ;

Сборник матерьялов по руткитам и атакам на линукс ;

Статья про уклонение от анализа вредоносного ПО с помощью обратного выполнения ;

Методология анализа вредоносных программ в среде Linux ;

Статья для понимания вредоносного ПО для Linux ;

Неплохая статья про написание руткитов на линукс ;


Сканеры вирусов 🧲

LMD сканер вредоносных программ для Linux ;

Сканер руткитов Linux ;

Тред на гитхаб со сборниками сканеров руткитов линукс ;

Тоже неплохой сканер наличия руткитов ;


Как вы видите, хоть в широких кругах и принято считать: "писать вирусы на линукс сложная, или даже не возможная практика", но это далеко не, и то что у вас линукс еще не серебрёная пуля от вирусов.

По линукс вирусы (особенности руткиты) пишутся, причем весьма успешно .
По этому берегите себя и защищайте свою систему

Спасибо за прочтение ❤️

И Алисы не забывайте читать надпись на обратной стороне бутылька который вы хотите выпить, вдруг там написано "Яд"🧪🎀
#malware #virus #revers #ransomware #attacks #linux #exploit #rootkit
GitHub
GitHub - mytechnotalent/Reverse-Engineering: A FREE comprehensive reverse engineering tutorial covering x86, x64, 32-bit/64-bit…
A FREE comprehensive reverse engineering tutorial covering x86, x64, 32-bit/64-bit ARM, 8-bit AVR and 32-bit RISC-V architectures. - mytechnotalent/Reverse-Engineering
👍52
1.3K viewsedited  
0•Bytes•1
Hello, my rabbits who like to go to tea parties 🐰☕️

While I am writing about bitcoin nodes search and analysis, I decided to make a collection of rootkit malware on linux🐧


Reverse💊

Not really about linux, but still a very cool guide to reverse ;

Article about reverse-engineering the Ebpfkit rootkit ;

Article about dovecat and hy4 malware analysis for Linux ;

A collection of resources for reverse-engineering Linux ;

Article about virus analysis aromatization on linux ;

Article about malware analysis for Linux ;

Article about rootkit and its detection ;


Resources🗝

A site with material on viruses and rootkits on linux, including their writing ;

A site with resources on reversal ;

A resource site for people who want to write viruses for linux ;

A site with excellent material and documents about linux malware ;


Examples of malware 🦠

A github thread with cool virus repositories ;

Linux X86_64 ELF virus ;

A simple linux virus. It can get root rights and destroy your system ;

Linux ransomware ;

Repository of the source code of various Linux malware ;

Combination of shell and rootkit ;

Collection of Linux rootkits ;

A simple Linux kernel rootkit ;


MateriaLs / Collections📖

A collection of linux virus materials ;

A collection of materiałs on rootkits and attacks on linux ;

Article about evading malware analysis by reverse engineering ;

Malware analysis methodology in Linux environment ;

An article for understanding Linux malware ;

Not a bad article about writing rootkits on linux ;


Malware Scanners 🧲

LMD malware scanner for Linux ;

Linux rootkit scanner ;

A github thread with collections of Linux rootkit scanners ;

Also a good rootkit scanner ;


As you can see, although it is widely accepted that "writing viruses on linux is difficult, or even impossible practice", it is far from it, and that you have linux is not yet a silver bullet against viruses

On linux, viruses (especially rootkits) are written and very successfully
So take care and protect your system

Thank you for reading ❤️

And Alice, don't forget to read the sign on the back of the bottle you want to drink, in case it says "poison"🧪🎀
#malware #virus #revers #ransomware #attacks #linux #exploit #rootkit
GitHub
GitHub - mytechnotalent/Reverse-Engineering: A FREE comprehensive reverse engineering tutorial covering x86, x64, 32-bit/64-bit…
A FREE comprehensive reverse engineering tutorial covering x86, x64, 32-bit/64-bit ARM, 8-bit AVR and 32-bit RISC-V architectures. - mytechnotalent/Reverse-Engineering
👍4🥰2
2.69K views
0•Bytes•1
This media is not supported in your browser
VIEW IN TELEGRAM
1.36K views
11
0•Bytes•1
Небольшая паста от админа 🙃

Пока админ занят работой над серьезными постами🧩


Как вызвать параноидальный психоз:

Для этого вам понадобится ядро Линукс (предпочтительно zen сорта собранное самостоятельно, с высоким содержанием модификаций, также можно взять стандартное ядро)
Еще требуется C, желательно самой низкоуровневый.
Также вместо C, если у вас ее нет возможности на нём писать, вы можете писать на C++ (группа исследователей из университета г. Рейкъявик (Исландия) выпустила патч к ядру 2.6, позволяющий полноценное использование C++ в ядре. Поддерживаются исключения, динамические типы и глобальные объекты. Правда он в какой-то мере ограничивает их работу) Но если вы будете его использовать, вероятность написания хорошего кода немного ниже.
Вы также можете применять любые другие языки программирования, к примеру реакт но ответственность за плохой код чисто на вас.

Сначала установите необходимые библиотеки для работы с модулями ядра, затем, через некоторое время, когда почувствуете, что вас немного отпустило, создайте каталог вашего для Вашего модуля и набросайте архитектуру вашего модуля или тупо начните писать его в одном файле, (желательно при этом находиться в состоянии стресса). Пишите криптографический модуль ядра на основе постквантовой криптографии. Для шифрования вашей файловой системы.
Если вы выбрали другие языки программирования помимо С, то используйте их для написания модулей, в зависимости от возможностей.
Главное, что вы все еще находитесь в активном состоянии, но это уже было немного менее хорошо для вас. Из-за получение большого количества ошибок при написании и тестовой компиляции. Теперь скомпелируйте Ваш модуль.
Перенесите все Ваши важные данные, в том числе криптокашельки в Ваш Линукс не оставляя нигде ещё, ВНИМАНИЕ, НИ В КОЕМ СЛУЧАЕ НЕ ДЕЛАЙТЕ РЕЗЕРВНЫЕ КОПИИ!
Теперь запустите ваш модуль, и забудьте все ключи шифрования, чтобы безвозвратно потерять Ваши файлы.

Поздравляю🎉, если вы все сделали правильно, вы либо случайно получили инсульт, потому что при шифровании важных необходимых Вам данных эффект непредсказуем, либо, как и предполагалось, у Вас начался психоз.
Bytes
FYI:C++ in the Linux Kernel - C / C++
C / C++ question on Bytes.
😁7👍2🤡21🔥1💩1
9.33K views